web测试04安全篇ppt课件

1、Web测试 : 安全篇 胡胜强Page 2Web安全测试定义n Web安全测试就是要提供证据表明，在面对敌意和恶意输入的时候，web系统应用仍然能够充分地满足它的需求。n -web安全测试Page 3安全测试概述n 据美国中情局前职员爱德华斯诺登爆料：“棱镜窃听计划，始于2019年的小布什时期，美国情报机构一直在九家美国互联网公司中进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮，即时消息，视频，照片，存储数据，语音聊天，文件传输，视频会议，登录时间，社交网络资料的细节，其中包括两个秘密监视项目，一是监视、监听民众电话的通话记

2、录，二是监视民众的网络活动。Page 4安全测试概述Page 5安全测试概述Page 6安全测试概述n 我们遵循普通用户所采取的方法来测试应用的功能。如果我们不确定与其行为是什么，通常也会通过询问别人、阅读需求或者使用我们的直觉的方法知道。负面测试遵循一些从正面测试中自然而直接地获取的原则。我们知道银行的存款不应该是负值；密码不应该是1MB的JPEG图片；电话号码中不应该包含字母。随着我们对应用进行并建立起正面的功能测试，建立反面测试就自然而然成为下一步。这与安全测试有什么关系？n 安全测试就是要提供证据表明，在面对敌意和恶意输入的时候，应用仍然能够充分地满足他的需求。Page 7安全测试概述

3、-WEB-WEB应用n Web应用具有各种各样的形式和规模。他们用各种语言编写，运行在各种操作系统上，已各种方式运行。每种Web应用的核心在于，它的所有功能都是使用http进行通信的，而它的结果通常是采用html格式。输入是使用get、post及类似方法进行通信的。n Web应用是一切使用http进行通信的软件。n 留意，要成为Web应用，必须执行某种业务逻辑，输出中必须存在某种可能的变化，必须做出一些判断，否则我们实际上并不是在测试软件。Page 8安全测试概述-WEB-WEB应用n 通过功能测试，我们设法向用户证明这个软件可以像宣传的那样正常工作。通过安全测试，我们设法使每个人确信，即使面

4、临恶意输入，它仍然可以像宣传的那样正常工作。我们设法模拟真实的攻击和真实的漏洞，同时用这些模拟与我们有限的测试融为一体。n 因此，Web安全测试就是使用多种工具，包括手动工具和自动工具，来模拟和激发我们的Web应用活动。Page 9安全测试与功能测试的区别v 目标不同：测试以发现BUG为目标，安全测试以发现安全隐患为目标。v 假设条件不同：测试假设导致问题的数据是用户不小心造成的，接口一般只考虑用户界面。安全测试假设导致问题的数据是攻击者处心积虑构造的，需要考虑所有可能的攻击途径。v 思考域不同：测试以系统所具有的功能为思考域。安全测试的思考域不但包括系统的功能，还有系统的机制、外部环境、应用

5、与数据自身安全风险与安全属性等。v 问题发现模式不同：测试以违反功能定义为判断依据。安全测试以违反权限与能力的约束为判断依据。Page 10安全测试与渗透测试区别v 出发点差异：渗透测试是以成功入侵系统，证明系统存在安全问题为出发点；而安全测试则是以发现系统所有可能的安全隐患为出发点。v 视角差异：渗透测试是以攻击者的角度来看待和思考问题，安全测试则是站在防护者角度思考问题，尽量发现所有可能被攻击者利用的安全隐患，并指导其进行修复。v 覆盖性差异：渗透测试只选取几个点作为测试的目标，而安全测试是在分析系统架构并找出系统所有可能的攻击界面后进行的具有完备性的测试。Page 11安全测试与渗透测试

6、区别v 成本差异：安全测试需要对系统的功能、系统所采用的技术以及系统的架构等进行分析，所以较渗透测试需要投入更多的时间和人力。v 解决方案差异：渗透测试无法提供有针对性的解决方案；而安全测试会站在开发者的角度分析问题的成因，提供更有效的解决方案。Page 12安全测试相关名词v 白盒测试：v 根据提测时填写的SVN，持续进行白盒扫描，根据安全测试的规则，扫描代码中的漏洞，这是纯代码级的，不需要应用正常启动，BUG全部修复视为白盒测试通过v 黑盒测试: v 在白盒测试通过后进行。人工执行一遍项目中所有的业务流程，在执行的过程中进行攻击性测试，BUG全部修复视为黑盒测试通过。Page 13安全测试

7、相关名词v 编码方式：数据编码是指把需要加工处理的数据库信息，用特写的数字来表示的一种技术，是根据一定数据结构和目标的定性特征，将数据转换为代码或编码字符，在数据传输中表示数据组成，并作为传送、接受和处理的一组规则和约定。分类：Base64、URL Encode、HexEncode、html Encode、UTF-7v 安全漏洞：是指受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。漏洞是硬件软件或使用策略上的缺陷，他们会使计算机遭受病毒和黑客攻击。Page 14安全测试相关名词v http传输方式： HTTP是超文本传输协议，是客户端浏览器或其他程序与Web服务器之

8、间的应用层通信协议。在Internet上的Web服务器上存放的都是超文本信息，客户机需要通过HTTP协议传输所要访问的超文本信息。HTTP包含命令和传输信息，不仅可用于Web访问，也可以用于其他因特网/内联网应用系统之间的通信，从而实现各类应用资源超媒体访问的集成。Page 15Web攻击的主要类型n 跨站脚本(XSS)攻击n SQL注入n XML注入n 目录遍历n 上传下载漏洞攻击n 信息泄露n 访问控制错误Page 161.跨站脚本(XSS)攻击nXSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之

9、时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。n盗取Cookien钓鱼n操纵受害者的浏览器n蠕虫攻击Page 171.跨站脚本(XSS)攻击n 反射型跨站(Reflected XSS)n 服务端获取HTTP请求中的参数，未经过滤直接输出到客户端。如果这些参数是脚本，它将在客户端执行。(钓鱼常见)n 存储型跨站(Stored XSS)n 用户输入的数据存放在服务端(一般放数据库里)，其他用户访问某个页面时，这些数据未经过滤直接输出。这些数据可能是恶意脚本，对其他用户造成危害。(挂马常见)Page 181.跨站脚本(XSS)攻击n DOM型跨站(DOM-Based XS

10、S)n 用户输入的数据存放在服务端(一般放数据库里)，其他用户访问某个页面时，这些数据未经过滤直接输出。这些数据可能是恶意脚本，对其他用户造成危害。(挂马常见)n 跨站请求伪造(CSRF)n 强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的操作行为。n 恶意请求会带上浏览器的Cookie。n 受攻击的Web应用信任浏览器的Cookie。Page 192.SQL注入n 将SQL命令人为的输入到URL、表格域、或者其他动态生成的SQL查询语句的输入参数中，完成SQL攻击。n 查询数据库中的敏感内容n 绕过认证n 添加、删除、修改数据n 拒绝服务n ?id=(BENC

11、HMARK(100000000, MD5(RAND(); Page 202.SQL注入n 原URL:n localhost/name?nameid=222n 攻击SQL注入： n localhost/name?nameid= or 1=1Page 213.目录遍历n 目录遍历攻击指的是：恶意用户找到受限文件的位置并且浏览或者执行它们。n 攻击者浏览受限文件，比如读取配置文件、密码文件等，就会破坏隐私，甚至引发安全问题。而如执行了受限的文件，攻击者就可以根据自己的意愿来控制和修改web站点。Page 223.目录遍历请看以下一个URL： localhost/report.jsp?reportid

12、=10225.htm我们可以尝试进行攻击： localhost/report.jsp?reportid=10224.htm或者尝试访问应用服务器的系统目录： localhost/report.jsp?reportid=././././etc/passwdPage 234.文件上传n Web应用程序在处理用户上传的文件时，没有判断文件的扩展名是否在允许的范围内，或者没检测文件内容的合法性，就把文件保存在服务器上，甚至上传脚本木马到web服务器上，直接控制web服务器。n 未限制扩展名n 未检查文件内容n 病毒文件Page 245.消息泄露n Web应用程序在处理用户错误请求时，程序在抛出异常的时

13、候给出了比较详细的内部错误信息，而暴露了不应该显示的执行细节，如文件路径、数据库信息、中间件信息、IP地址等Page 25如何进行Web安全测试n 手动测试n 自动测试n 混合测试Page 261.手动测试n 手动人工测试就是在系统测试过程中对系统的安全漏洞方面进行人为针对性的测试。n 主要从安全体系架构、应用与传输、其他配置类安全中间件等等几个方面进行安全测试。Page 27安全体系架构n 敏感数据n 在传输过程中和存储中是否加密n 会话管理n 会话是否有超时、数据加密等设置n 配置管理n 配置信息的管理配置文件的权限等）n 参数操作n 是否使用参数操作，如sql语句中Page 28安全体系架构n 输入验证n 输入数据是否经过三重验证客户端、服务端、数据库）n 身份验证n 系统是否有用户身份验证n 授权管理n 是否使用权限控制管理水平和垂直、URL级别和菜单级别）Page 29安全体系架构n 异常管理n 系统在抛出异常的时候是否泄漏一些敏感的信